sslug-teknik team mailing list archive

[Jesper K. Pedersen <jkp@xxxxxxxxxxxxxx>]

> 
> Jaeh.... Men det betyder også at man som kunde på et webhotel 
har fri
> adgang til at se kildekode ovre hos naboen. (Password til hans
> mySQL-kundedatabase må der jo nødvendigvis også stå et eller 
andet sted
> i hans scripts!) -- Et eller andet sted, så mener jeg at det 
er dybt
> kritisabelt at der ikke er mere fokus på dette. (Gad vide hvad
> ComputerWorld ville sige til en lille "webhotel hacking how-
to"?) -- Så
> kom der måske lidt gang i systemadministratorerne rundt 
omkring?! Jeg
> skal bare lige selv have styr på det først, så kan man vel 
altid udråbe
> sig selv til freelance-konsulent! ;-p (LOL)
> 

Jeg har afprøvet et "ikke nærmere navngivet" webhotel for ca. 6 
måneder siden, omkring denne form for uautoriseret adgang, da 
jeg jo absolut ikke mente det kunne være rigtigt at sikkerheden 
var så dårlig. Til min store forbavselse ER sikkerheden så 
dårlig. Da jeg skrev til udbyderen om de selv var klar over 
problemet, fik jeg et venligt svar der truede med at jeg ville 
blive anmeldt for hacking, hvis jeg gav informationen videre. 
Jeg besluttede mig derefter at der INGEN sikkerhedsmæssige 
detaljer skal være på vores eget web site (der er nede alligevel 
men det er en helt anden snak ;-)

Som du selv siger burde vi nok råbe lidt højere for at få bedre 
sikkerhed.
I dag kan alle der kan installere et stykke software som Apache 
jo til billige penge udråbe sig som web udbyder, uden dog at ane 
en disse om det. Resultatet er at en række firmaer i dag står og 
betaler for en "sikkerhed" der intet er værd.

Hvad man kan lære af den tråd vi har her er at der ikke skal 
ligge data man forventer, der er private på et offentligt web 
host system uden de kan give  garantier om sikkerheden.

Hilsen
Jesper K. Pedersen
SolNet Data Service